您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20240701-20240707)
一、境外廠商產(chǎn)品漏洞
1、Sonatype Nexus Repository存在路徑遍歷漏洞
Nexus Repository Manager是一個倉庫管理系統(tǒng)。Sonatype Nexus Repository Manager存在路徑遍歷漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-28353
2、西門子(中國)有限公司多款產(chǎn)品存在拒絕服務(wù)漏洞(CNVD-2024-25231)
西門子(中國)有限公司是一家專注于電氣化、自動化和數(shù)字化領(lǐng)域的企業(yè)。西門子(中國)有限公司多款產(chǎn)品存在拒絕服務(wù)漏洞,攻擊者可利用漏洞導(dǎo)致設(shè)備處理異常而死機,手動重啟PLC才能恢復(fù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-25231
3、Mattermost信息泄露漏洞(CNVD-2024-30628)
Mattermost是美國Mattermost公司的一個開源協(xié)作平臺。Mattermost存在信息泄露漏洞。攻擊者可以利用該漏洞導(dǎo)致讀取消息內(nèi)容。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-30628
4、IBM Db2用戶枚舉漏洞
IBM Db2是美國國際商業(yè)機器(IBM)公司的一套關(guān)系型數(shù)據(jù)庫管理系統(tǒng)。該系統(tǒng)的執(zhí)行環(huán)境主要有UNIX、Linux、IBMi、z/OS以及Windows服務(wù)器版本。IBM Db2 for i 7.2、7.3、7.4和7.5版本存在用戶枚舉漏洞,該漏洞源于user defined table函數(shù)對于有效用戶和無效用戶存在不同響應(yīng),攻擊者可利用該漏洞收集有關(guān)用戶的信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-29665
5、Cybozu Garoon安全繞過漏洞(CNVD-2024-29666)
Cybozu Garoon是日本才望子(Cybozu)公司的一套門戶型OA辦公系統(tǒng)。該系統(tǒng)提供門戶、E-mail、書簽、日程安排、公告欄、文件管理等功能。Cybozu Garoon存在安全繞過漏洞,該漏洞源于對共享待辦事項中的某些操作限制不當。攻擊者可利用該漏洞刪除Shared to Dos的數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-29666
二、境內(nèi)廠商產(chǎn)品漏洞
1、深圳學(xué)海云帆科技有限公司Readpaper存在XSS漏洞
ReadPaper是一個集翻譯、閱讀、搜索、管理等于一體的AI科研神器,支持多端同步,覆蓋全學(xué)科的學(xué)術(shù)詞匯和圖譜,提供專業(yè)的AI潤色和學(xué)術(shù)社區(qū)功能。深圳學(xué)海云帆科技有限公司Readpaper存在XSS漏洞,攻擊者可利用漏洞獲取用戶cookie等敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-25226
2、用友網(wǎng)絡(luò)科技股份有限公司NC Cloud存在SQL注入漏洞
NC Cloud是一款大型企業(yè)數(shù)字化平臺,支持公有云、混合云、專屬云的靈活部署模式。用友網(wǎng)絡(luò)科技股份有限公司NC Cloud存在SQL注入漏洞,攻擊者可利用漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-25234
3、TP-LINK ER7206命令執(zhí)行漏洞
TP-LINK ER7206是中國普聯(lián)(TP-LINK)公司的一款多功能千兆路由器。TP-Link ER7206 Omada Gigabit VPN Router 1.4.1 Build 20240117版本存在命令執(zhí)行漏洞,該漏洞源于存在殘留調(diào)試代碼,攻擊者可利用該漏洞通過特制的網(wǎng)絡(luò)請求可導(dǎo)致任意命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-30632
4、北京億賽通科技發(fā)展有限責(zé)任公司數(shù)據(jù)泄露防護(DLP)系統(tǒng)存在SQL注入漏洞(CNVD-2024-25582)
數(shù)據(jù)泄露防護(DLP)系統(tǒng)是一款融合機器學(xué)習(xí)、大數(shù)據(jù)分析、文檔加密、訪問控制、關(guān)聯(lián)分析、數(shù)據(jù)標識等技術(shù)的綜合性數(shù)據(jù)安全產(chǎn)品。北京億賽通科技發(fā)展有限責(zé)任公司數(shù)據(jù)泄露防護(DLP)系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-25582
5、TP-LINK AX1500操作系統(tǒng)命令注入漏洞
TP-LINK AX1500是中國普聯(lián)(TP-LINK)公司的一個調(diào)制解調(diào)器。TP-LINK AX1500存在操作系統(tǒng)命令注入漏洞,該漏洞源于操作系統(tǒng)命令中使用的特殊元素的不當中和,攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-30638
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺